İÇ DENETİM PERFORMANS STANDARTLARI 2000 - İç Denetim Faaliyetinin Yönetimi İç Denetim Yöneticisi, iç denetim faaliyetini, faaliyetin kuruma değer katmasını sağlayacak etkili bir tarzda yönetmelidir. 2010 - Planlama İç Denetim Yöneticisi, kurumun hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini belirleyen risk esaslı planlar yapmalıdır. 2010.A1 - İç denetim faaliyetinin görev planı, en az yılda bir kez yapılan bir risk değerlendirmesine dayanmalıdır. Üst yönetim, denetim komitesi ve yönetim kurulu, bu sürece dahil edilerek göz önüne alınmalıdır. 2010.C1 - İç denetim yöneticisi, görevin risk yönetimini geliştirme, katma değer yaratma ve faaliyetleri geliştirme potansiyelini değerlendirerek, öne sürülen danışmanlık görevlerini kabul etmeyi düşünmelidir. Kabul edilen bu görevler, plana dahil edilmelidir. 2020 - Bildirim ve Onay İç Denetim Yöneticisi, önemli ara değişiklikler de dahil, iç denetim faaliyetinin planlarını ve kaynak ihtiyaçlarını, gözden geçirme ve onay için üst yönetime, denetim komitesine ve yönetim kuruluna bildirmelidir. İç Denetim Yöneticisi, kaynak sınırlamalarının etkilerini de bildirmelidir. 2030 - Kaynak Yönetimi İç Denetim Yöneticisi, onaylı planın uygulanabilmesi için, iç denetim kaynaklarının uygun ve yeterli olmasını ve etkin bir şekilde kullanılmasını sağlamalıdır. 2040 - Politika ve Prosedürler İç Denetim Yöneticisi, iç denetim faaliyetini yönlendirmek amacına yönelik politika ve prosedürleri belirlemelidir. 2050 - Eşgüdüm İç Denetim Yöneticisi; aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek ve işin kapsamını en uygun şekilde belirlemek amacıyla, ilgili güvence ve danışmanlık hizmetlerini yerine getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve faaliyetleri bunlarla eşgüdüm içinde sürdürmelidir. 2060 - Yönetim Kurulu, Denetim Kurulu ve Üst Yönetime Raporlamalar İç Denetim Yöneticisi, iç denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları ve plana kıyasla performansı konularında, denetim komitesi ve yönetim kuruluna ve üst yönetime dönemsel raporlar sunmalıdır. Bu raporlar, önemli riskleri, kontrol sorunlarını, kurumsal yönetişim sorunlarını ve denetim komitesinin, yönetim kurulunun ve üst yönetimin ihtiyaç duyabileceği veya talep edebileceği başka konuları da içermelidir. 2100 - İşin Niteliği İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, risk yönetimi, kontrol ve yönetişim sistemlerini değerlendirmeli ve bu sistemlerin iyileştirilmesine katkıda bulunmalıdır. 2110 - Risk Yönetimi İç denetim faaliyeti; önemli risk maruziyetlerini tespit edip değerlendirerek ve risk yönetimi ve kontrol sistemlerinin iyileştirilmesine katkıda bulunarak kuruma yardımcı olmalıdır. 2110.A1 - İç denetim faaliyeti kurumun risk yönetim sisteminin etkinliğini gözlemeli ve değerlendirmelidir. 2110.A2 - İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim, kontrol, faaliyet ve bilgi sistemlerinin maruz olduğu riskleri değerlendirmelidir: • Mali ve operasyonel bilgilerin güvenilirliği ve bütünlüğü, • Faaliyetlerin etkinlik ve verimliliği, • Varlıkların korunması, • Kanun, düzenleme ve sözleşmelere uyum. 2110.C1 - İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla uyumlu şekilde riski ele almalı ve diğer önemli risklere karşı uyanık olmalıdır. 2110.C2 - İç denetçiler, danışmanlık görevlerinden elde ettikleri risk bilgilerini, kurumun maruz kaldığı önemli riskleri belirleme ve değerlendirme sürecinde kullanmalıdır. 2120 - Kontrol İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmalıdır. 2120.A1 - Risk değerlendirmesinin sonuçlarına bağlı olarak, iç denetim faaliyeti, kurumun yönetimini, faaliyetlerini ve bilgi sistemlerini kapsayan kontrollerin yeterliliğini ve etkinliğini değerlendirmelidir. Bu değerlendirme: • mali ve operasyonel bilgilerin güvenilirliğini, • faaliyetlerin etkinlik ve verimliliğini, • varlıkların korunmasını, • kanunlara, düzenlemelere ve sözleşmelere uyum konularını kapsamalıdır. 2120.A2 - İç denetçiler, faaliyet ve programların hedef ve amaçlarının kapsamını ve bunların kurumun hedef ve amaçlarına uyumunun derecesini anlayıp değerlendirmelidir. 2120.A3 - İç denetçiler, faaliyet ve programların niyetlenildiği gibi uygulandığını veya gerçekleştirildiğini belirlemek için, faaliyet ve programların tesbit edilen hedef ve amaçlarla ne kadar uyumlu olduğunu anlayıp değerlendirebilmek için, faaliyet ve programları gözden geçirmelidir. 2120.A4 - Kontrollerin değerlendirilmesi için uygun ve yeterli kıstaslara ihtiyaç vardır. İç denetçiler, yönetimin hedef ve amaçlara ulaşılıp ulaşılmadığını belirlemek için oluşturduğu kıstasların yeterlilik derecesini tespit etmelidir. Bu kıstaslar yeterliyse, iç denetçiler de kendi değerlendirmelerinde bunları kullanabilir. Kıstaslar yeterli değilse, iç denetçiler uygun değerlendirme kıstasları geliştirmek için yönetimle birlikte çalışmalıdır. 2120.C1 - Danışmanlık görevleri sırasında, iç denetçiler, görevin amaçlarıyla uyumlu bir şekilde kontrolleri ele almalı ve herhangi bir kontrol zaafiyetine karşı uyanık olmalıdır. 2120.C2 - İç denetçiler, danışmanlık görevlerinden elde ettikleri kontrol bilgilerini, kurumun maruz kaldığı önemli riskleri belirleme ve değerlendirme sürecinde kullanmalıdır. 2130 - Yönetişim İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecinin iyileştirilmesi için gerekli tavsiyelerde bulunmalı ve tavsiyeleri değerlendirmelidir: • Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi, • Etkili bir kurumsal performans yönetimi ve hesap verebilirlik, • Risk ve kontrol bilgilerinin kurumun gerekli alanlarına etkili bir şekilde iletilmesi, • Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin etkili bir şekilde iletimini sağlamak. 2130.A1 - İç denetim faaliyeti, kurumun etikle ilgili amaç, program ve faaliyetlerinin tasarımını, uygulanmasını ve etkinliğini değerlendirmelidir. 2130.C1 - Danışmanlık görevinin amaçları, kurumun genel değerleri ve hedefleriyle uyumlu olmalıdır. 2200 - Görev Planlaması İç denetçiler, her görev için, kapsam, amaçlar, zamanlama ve kaynak dağılımı hususlarını da dikkate alan ayrı bir plan hazırlamalı ve kaydetmelidir. 2201 - Planlamada Dikkate Alınması Gerekenler Bir görevi planlarken, iç denetçiler şu noktaları dikkate almalıdır: • Denetlenecek olan faaliyetin hedefleri ve faaliyetin kendi performansını kontrol etmesinin araçları, • Faaliyet ve hedeflerine, kaynaklarına ve operasyonlarına yönelik önemli riskler ve bu potansiyel risklerin etki veya ihtimallerini kabul edilebilir bir seviyede tutmanın yol ve araçları, • Bir ilgili kontrol çerçevesi veya modeline kıyasla, ilgili faaliyetin risk yönetimi ve kontrolü sistemlerinin yeterlilik ve etkinliği, • Faaliyetin risk yönetimi ve kontrol sistemlerinde önemli gelişme sağlama imkânları. 2201.A1 - Kurum dışındaki taraflar için bir görevlendirme planlarken, iç denetçiler, görevlendirmenin amaçları, kapsamı, her iki tarafın sorumlulukları ve -görev kayıtlarına erişime ve sonuçların dağıtımına getirilecek kısıtlamalar dahil- diğer karşılıklı beklentiler konusunda söz konusu taraflarla yazılı bir anlaşma yapmalıdır. 2201.C1 - İç denetçiler, görevlendirmenin amaçları, kapsamı, yerine getirilecek sorumluluklar ve diğer müşteri beklentileri hakkında, danışmanlık hizmeti verecekleri müşterileriyle anlaşmalıdır. Çok önemli görevlendirmelerde bu anlaşma yazılı hâle getirilmelidir. 2210 - Görev Amaçları Görev amaçları, denetlenen faaliyetle ilgili riskleri, kontrolleri ve yönetişim süreçlerini kapsamalıdır. 2210.A1 - İç denetçi, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmalıdır. Görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmalıdır. 2210.A2 - İç denetçiler, görevin amaçlarını belirlerken, önemli hatâların, düzensizliklerin, aykırılıkların ve diğer risklerin meydana gelme ihtimalini göz önüne almalıdır. 2210.C1 - Danışmanlık görevlerinin amaçlarında, müşteriyle mutabık kalındığı ölçüde, risk, kontrol ve yönetişim süreçlerine de temas edilmelidir. 2220 - Görev Kapsamı Görevin kapsamı, görevin amaçlarına ulaşılmasına yetecek seviyede olmalıdır. 2220.A1 - Görevin kapsamı, üçüncü tarafların sahip oldukları dahil, ilgili sistemlerin, kayıtların, personel ve maddî varlıkların değerlendirilmesini de içermelidir. 2220.A2 - Bir güvence görevi sırasında önemli danışmanlık fırsatları çıkarsa, görevin amaçları, kapsamı, karşılıklı sorumluluklar ve diğer beklentilerle ilgili yazılı bir anlaşma hazırlanmalı ve danışmanlık görevinin sonuçları, danışmanlık standartlarına uygun olarak raporlanmalıdır. 2220.C1 - İç denetçiler, danışmanlık görevlerini yaparken, görevin kapsamının, üzerinde mutabık kalınan amaçlara yeterince temas ettiğinden emin olmalıdır. Eğer görev sırasında kapsamla ilgili ihtirazî kayıtları olursa, göreve devam edip etmeyeceğini belirlemek üzere, bunları müşteri ile tartışmalıdır. 2230 - Görev Kaynaklarının Tahsisi İç denetçiler, görevin amaçlarına ulaşmak için gereken kaynakları tespit etmelidir. Görev kadrosu, görevin niteliği, karmaşıklığı, zaman kısıtlamaları ve mevcut kaynaklar dikkate alınarak teşkil edilmelidir. 2240 - Görev İş Programı İç denetçiler, görev amaçlarına yönelik iş programları hazırlamalıdır. Bu iş programları, kayıtlı hâle getirilmelidir. 2240.A1 - İş programları, görev sırasında uygulanacak bilgi toplama, analiz, değerlendirme ve kayıt prosedürlerini içermeli ve göstermelidir. İş programı, işe başlanmadan önce onaylanmalıdır; programda yapılan değişiklikler için de derhal onay alınmalıdır. 2240.C1 - Danışmanlık görevleri için hazırlanan iş programlarının şekli ve içeriği, görevin niteliğine bağlı olarak değişir. 2300 - Görevin Yapılması İç denetçiler, üstlendikleri görevin hedeflerine ulaşmak için yeterli bilgileri belirlemeli, analiz etmeli, değerlendirmeli ve kaydetmelidir. 2310 - Bilgilerin Tespiti ve Tanımlanması İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı olan bilgileri tespit etmeli ve tanımlamalıdır. 2320 - Analiz ve Değerlendirme İç denetçiler, vardıkları sonuçları ve görev sonuçlarını uygun analiz ve değerlendirmelere dayandırmalıdır. 2330 - Bilgilerin Kaydedilmesi İç denetçiler, vardıkları kanaatlere ve görev sonuçlarına dayanak teşkil eden bütün bilgileri kaydetmelidir. 2330.A1 - İç Denetim Yöneticisi, görev kayıtlarına erişimi kontrol etmelidir. İç Denetim Yöneticisi, gerektiğinde, bu kayıtları kurum dışı taraflara vermeden önce, üst yönetimin ve/veya hukuk danışmanının onayını almalıdır. 2330.A2 - İç Denetim Yöneticisi, görev kayıtlarının saklanmasına ilişkin esasları belirlemelidir. Bu esaslar, kurumun temel ilkelerine ve ilgili mevzuata uygun olmalıdır. 2330.C1 - İç denetim yöneticileri, görev kayıtlarının tutulması, saklanması ve kurum içi ve dışı taraflara sunulmasını düzenleyen politikalar belirlemelidir. Bu politikalar, kurumun düzenlemelerine, ilgili mevzuata ve diğer gereklere uygun olmalıdır. 2340 - Görevin Gözetim ve Kontrolü Görevler; görev amaçlarına ulaşılmasını, kalitenin güvence altına alınmasını ve personelin geliştirilmesini sağlayacak bir tarzda gözetlenmeli ve kontrol edilmelidir. 2400 - Sonuçların Raporlanması İç denetçilerin, görev sonuçlarını raporlaması gerekir. 2410 - Raporlama Kıstasları Raporlamalar, varılan sonuçlar, yapılan tavsiyeler ve önerilen eylem planlarının yanında görevin hedeflerini ve kapsamını da içermelidir. 2410.A1 - Sonuçları gösteren nihaî rapor, gerektiğinde, iç denetçinin görüş ve kanaatlerini de içermelidir. 2410.A2 - İç denetçiler, görev raporlamalarında tatminkâr bir performans göstermeye teşvik edilmelidir. 2410.A3 - Görev sonuçları kurum dışındaki taraflara bildirilirken, söz konusu bildirim, sonuçların dağıtımı ve kullanımı konusundaki sınırlamaları da içermelidir. 2410.C1 - İlerlemenin raporlanmasının ve danışmanlık görevlerinin sonuçları, görevlendirmenin niteliğine ve müşterinin ihtiyaçlarına bağlı olarak, şekil ve içerik değiştirir. 2420 - Raporlamaların Kalitesi Raporlamalar, doğru, objektif, açık, özlü, yapıcı, tam olmalı ve zamanında sunulmalıdır. 2421 - Hatâ ve Eksiklikler Eğer nihaî raporlama önemli bir hatâ veya eksiklik içeriyorsa, İç Denetim Yöneticisi, hatâlı ve eksik raporu alan bütün taraflara düzeltilmiş bilgileri iletmelidir. 2430 - Görevlendirmelerde Standartlara Aykırılıkların Açıklanması Standartlara aykırılıklar belli bir görevi etkilediğinde, sonuçların raporlanırken şu hususlar özel durum olarak açıklanmalıdır: • Tam olarak uyulamayan Standart(lar) • Aykırılık sebepleri • Aykırılığın göreve etkisi 2440 - Sonuçların Raporlanması İç Denetim Yöneticisi, görev sonuçlarını uygun taraflara raporlamalıdır. 2440.A1 - Görev sonuçlarının öngördüğü tedbirlerin alınmasını sağlayabilecek taraflara, nihaî görev sonuçlarının raporlanmasından İç Denetim Yöneticisi sorumludur. 2440.A2 - İç Denetim Yöneticisi, aksi kanunî, hukukî düzenlemelerle emredilmediği takdirde, görev sonuçlarını kurum dışındaki taraflara iletmeden önce, kuruma doğabilecek muhtemel riskleri değerlendirmeli, üst yönetim ve/veya hukuk danışmanı ile istişare etmeli ve sonuçların raporlanmasını, kullanımını kısıtlayarak, kontrol etmelidir. 2440.C1 - İç Denetim Yöneticisi, danışmanlık görevlerinin nihaî sonuçlarının müşterilere raporlanmasından sorumludur. 2440.C2 - Danışmanlık görevleri sırasında, risk yönetimi, kontrol ve yönetişim sorunları tesbit edilebilir. Bu sorunlar, kurum için önemli hâle gelir gelmez üst yönetime, denetim komitesine ve yönetim kuruluna bildirilmelidir. 2500 - İlerlemenin Gözlenmesi İç Denetim Yöneticisi, yönetime rapor edilen sonuçların akıbetinin gözlenmesi için bir sistem kurmalı ve uygulamalıdır. 2500.A1 - İç Denetim Yöneticisi, yönetimin aldığı tedbirlerin etkili bir şekilde uygulanmasını veya üst yönetimin, gerekli tedbiri almamasının riskini üstlenmeyi kabul etmesini sağlamak ve gelişmeleri gözlemek amacına yönelik bir takip süreci kurmalıdır. 2500.C1 - İç denetim faaliyeti, müşterileriyle mutabık kalındığı ölçüde, danışmanlık görevlerinin sonuçlarının akıbetini gözlemelidir. 2600 - Yönetimin Artık Riskleri Üstlenmesi İç Denetim Yöneticisi, üst yönetimin kurum için kabul edilemeyebilecek bir artık (bakiye) risk düzeyini üstlenmeyi kabul ettiğine inandığı takdirde, konuyu üst yönetimle tartışmalıdır. Artık riskle ilgili bir karara varılamazsa, İç Denetim Yöneticisi ve üst yönetim, konuyu çözümlenmesi için denetim komitesi ve yönetim kuruluna rapor etmelidir.